Microsoft Defender Attack Simulator – Was läuft daran falsch?
Veröffentlichungsdatum:
- April 1, 2026
Microsoft bietet ein Tool für Phishing-Simulationen an. Für Organisationen mit hohen Anforderungen an die Cyber-Awareness ihrer Mitarbeitenden ist dieses jedoch nur eingeschränkt geeignet.
Ein zentraler Vorteil der Messesaison ist der direkte Austausch mit Cybersecurity-Experten. Dabei zeigt sich ein klarer Trend: Viele mittelständische Unternehmen in Deutschland und der Schweiz beenden Verträge mit spezialisierten Awareness-Anbietern zugunsten des Microsoft Defender Attack Simulators. Das Hauptargument ist wirtschaftlicher Natur: Das Tool ist in bestehenden E5-Lizenzen bereits inkludiert – warum also in externe Alternativen investieren?
Für mich ist dieses Argument absolut nachvollziehbar – insbesondere, wenn man Teil der deutschen Industrie im Jahr 2026 ist und vor erheblichen wirtschaftlichen Herausforderungen steht. Dennoch ist Microsoft Defender Attack Simulator aus meiner Sicht eines der schwächsten Produkte, die ich kenne.
Was ich damit meine: a) Security Awareness Trainings und die Verbesserung des Risikoverhaltens von Mitarbeitenden erfordern grundlegende Funktionen, die Defender schlicht nicht bietet. b) Der Attack Simulator ist ein sehr simples, rudimentäres Tool. Das Ergebnis: Größere Unternehmen mit einer E5-Lizenz können zwar die Kosten für eine Security-Awareness-Lösung einsparen – gleichzeitig explodiert jedoch der operative Aufwand für den Betrieb eines Awareness-Programms innerhalb des Security-Teams.
Herausforderungen bei der Arbeit mit Defender
Unsere eigenen Erfahrungen sowie Gespräche mit mehreren Infosec Engineers, die Human Risk Systeme betreiben, zeichnen ein sehr ähnliches Bild: Microsoft Defender Attack Simulator ist hervorragend geeignet, um schnell und unkompliziert eine Phishing-Simulation aufzusetzen. Doch danach wird es schwierig. Man stößt schnell auf folgende Herausforderungen:
- Keine Closed-Loop-Lernsysteme
- Hoher operativer Aufwand
- Begrenzter Realismus der Simulationen
- Schwaches Reporting zum Nutzerverhalten
- Keine Domain-Verwaltung und -Kontrolle
- Kein MSSP- / Multi-Tenant-Modell
- Eingeschränkte Trainingsmöglichkeiten
- Kein Local-Cloud- oder On-Prem-Betrieb
1. Kein Closed-Loop-Lernsystem
Im Microsoft Defender Attack Simulator ist der Prozess linear und einfach aufgebaut: Man führt eine Simulation durch, erhält einen Bericht und weist optional ein Basistraining zu. Es gibt keine integrierte Feedback- oder kontinuierliche Lernschleife. Ebenso besteht keine Möglichkeit, komplexere Übungen durchzuführen oder eigene Angriffsdomänen einzubinden.
In unserer Lösung, CYBERDISE│Cyberdise Awareness, ist der Prozess hingegen zyklisch aufgebaut: Ein gemeldetes Ereignis wird analysiert, dem Nutzer erklärt, in eine Simulation überführt, durch gezieltes Training ergänzt und anschließend kontinuierlich wiederholt, um das Verhalten nachhaltig zu verbessern.
2. Hoher operativer Aufwand
Mittelstand, Großunternehmen und MSSPs benötigen Automatisierung, um effizient skalieren zu können. Andernfalls müssen mehrere FTE (Full-Time Equivalents) eingesetzt werden, um überhaupt ein grundlegendes Awareness-Niveau aufrechtzuerhalten.
Microsoft Defender Attack Simulator
- Manuelles Targeting von Nutzern
- Manuelle Kampagnenerstellung
- Manuelles Follow-up
- Unterstützung nur einer AD-Domain
Best-Practice Awareness-Lösungen
- Dynamische Nutzersegmentierung
- Multi-Source User Sync
- Automatisierte Kampagnen
- Automatisiertes Follow-up-Training
3. Begrenzter Realismus der Simulationen
In Microsoft Defender basieren Simulationen auf Templates mit nur eingeschränkten Anpassungsmöglichkeiten und bieten wenig Personalisierung. Moderne Awareness-Lösungen wie unsere nutzen hingegen KI und OSINT, um Spear-Phishing-Szenarien mit dynamischem Schwierigkeitsgrad und personalisiertem Targeting zu erstellen. Darüber hinaus sind auch Multi-Channel-Angriffsszenarien möglich – heute per SMS, morgen per Sprachnachricht und übermorgen als Phishing-Simulation.
Dieser Unterschied ist entscheidend, da moderne, KI-gestützte Social-Engineering-Angriffe bereits genauso effektiv sind wie menschliche Angreifer. Einfache Simulationen bilden reale Bedrohungen daher nicht mehr ausreichend ab [1].
4. Schwaches Reporting zum Nutzerverhalten
In Microsoft Defender konzentriert sich das Reporting primär auf Klick- und Kompromittierungsraten. Cyberdise hingegen erfasst verhaltensbasierte Metriken, erstellt Nutzer-Risikoprofile und ermöglicht adaptives Targeting.
Das bedeutet: Statt lediglich Fehlverhalten zu messen, ermöglichen moderne Tools, die Entwicklung und Verbesserung des Nutzerverhaltens über die Zeit hinweg systematisch nachzuverfolgen.
5. Keine Domain-Kontrolle
Microsoft Defender Attack Simulator bietet keine Kontrolle über eigene Domains oder die Konfiguration der Zustellinfrastruktur. Eine moderne Awareness-Lösung der dritten Generation unterstützt hingegen Custom Domains, stellt eine DNS-API bereit und ermöglicht verschiedene Zustellmethoden.
Der Komfort, im Microsoft Attack Simulator keine Domains whitelisten zu müssen, untergräbt eine der wichtigsten Fähigkeiten, die Mitarbeitende beherrschen müssen: die sichere Unterscheidung zwischen legitimen und potenziell gefährlichen Webadressen.
6. Kein MSSP- / Multi-Tenant-Modell
Defender Attack Simulator ist auf ein Single-AD-Tenant-Modell ausgelegt. Eine Lösung wie Cyberdise unterstützt hingegen Multi-Tenancy, White Labelling, Multi-AD-/LDAP-Integrationen und ist für den Einsatz bei MSSPs ausgelegt.
7. Eingeschränktes Trainingssystem
In Microsoft Defender basiert das Training auf integrierten Modulen mit begrenzten Anpassungsmöglichkeiten.
Cyberdise gehört zu den wenigen Anbietern mit einem vollwertigen LMS, das SCORM-Import und -Export unterstützt sowie vollständig editierbare Inhalte bietet. Dadurch können Organisationen Trainings direkt an ihre internen Richtlinien und Anforderungen anpassen (CISOs müssen in erster Linie ihre eigenen Policies vermitteln).
8. Nur Cloud-basiert
Microsoft Defender Attack Simulator läuft ausschließlich in der Microsoft Cloud. Einige Awareness-Lösungen hingegen lassen sich flexibel in unterschiedlichen Umgebungen betreiben.
MSFT Attack Simulator vs Cyberdise – Einfache Funktionsübersicht
Vergleiche in Tabellenform sind immer hilfreich. Hier ist ein kurzer Überblick basierend auf meiner eigenen Bewertung (2026) und meinen Erfahrungen:
Fazit: Kosteneffizienz vs. Sicherheitswirkung
Bei Microsoft Defender sind die Lizenzkosten gering, da das Produkt in E5 enthalten ist, jedoch sind die operativen Kosten aufgrund des hohen manuellen Aufwands entsprechend hoch. Das Ergebnis ist eher moderat, da da sich der Ansatz auf einfache Simulationen beschränkt und das Risikoverhalten der Nutzer nicht wesentlich verbessert. In der Folge bleiben Mitarbeitende langfristig anfälliger, was die Fehlerraten erhöht und letztlich das Gesamtrisiko einer Kompromittierung für die Organisation steigert.
Bei Cyberdise fallen zusätzliche Lizenzkosten an, dafür sind die operativen Aufwände durch Automatisierung deutlich geringer. Das Ergebnis ist besser, da das System darauf ausgelegt ist, das Nutzerverhalten kontinuierlich zu verbessern, was zu einer messbaren Risikoreduktion und einer insgesamt stärkeren Sicherheitslage führt. Darüber hinaus verbessert Cyberdise das Risikoverhalten um bis zu 60 % stärker als herkömmliche Awareness-Tools.
Meine persönliche Einschätzung. Wie sehen Sie Microsoft Defender Attack Simulator?
#humanauthored
Wir freuen uns darauf, Ihnen in den kommenden Ausgaben unseres Newsletters weitere Einblicke, Neuigkeiten und Updates zum Thema Cybersicherheit zu präsentieren.
Wenn Sie diesen Newsletter in Zukunft nicht mehr erhalten möchten, können sie dies über den nachstehenden Icon „Abbestellen“ in die Wege leiten.
